Le Health Data Hub (HDH) a lancé ce printemps un appel d’offres afin de déployer en 2022 un Centre Opérationnel de Sécurité (COS) pour infogérer sa plateforme des données de santé (PDS). La polémique a-t-elle raison d’enfler sur certains de ses choix, dont celui de la solution de l’Américain Splunk.
Après le lancement de S3ns, nouveau coup de chaud en juillet 2022 chez les partisans de la souveraineté française dans le Numérique. Plusieurs posts ont fleuri sur les réseaux sociaux suite à l’appel d’offres publié ce printemps par le Health Data Hub (HDH) pour sécuriser et faire infogérer les données de sa plateforme des données de santé (PDS) avec un Siem.
Selon eux, cette organisation publique voudrait imposer l’utilisation du Siem et des logiciels de gestion du Big Data de l’éditeur américain Splunk, l’un des leaders incontesté du marché. A juste titre estime la direction du HDH car « Les deux solutions les plus couramment utilisées sont Splunk ou Elastic Search, aucune de ces deux solutions n’est française et aucune solution française n’est considérée aujourd’hui comme une référence en la matière » selon le cabinet Gartner, qu’elle cite en exemple. Effectivement, leurs rares concurrents français sur cette offre sont Keenai (Inetum) ou Itrust, avec son offre Reveelium par exemple.
Cet appel d’offres du HDH néglige-t-il des solutions françaises comme celle d’Itrust…
Raison pour laquelle, sans doute, cet appel d’offres du HDH indigne un leader comme Jean-Nicolas Piotrowski, le président de Itrust, un éditeur français de logiciels dans la cybersécurité : « Je ne conteste pas que Splunk soit l’une des meilleures solutions de Siem, mais je regrette que l’appel d’offres du Health Data Hub (HDH) l’impose comme choix d’office, alors que nous avons l’équivalent en Europe, dont le Reveelium d’Itrust, qui est un Siem très compétitif. Des groupes comme Burger King ou le Ministère de la Défense sont ses clients et le taux de renouvellement de Reveelium est proche de 100 % ».
Contactée sur ses choix pour son futur Siem, la direction du HDH se dit « sensible à l’utilisation de solutions françaises toutes les fois où il le peut, mais il n’y a pas ou peu de solutions dans certains domaines. La plateforme technologique du HDH implique à ce jour une douzaine de partenaires technologiques, dont un certain nombre sont d’origine française. Au-delà de ces aspects relatifs aux enjeux de la filière industrielle française dont nous nous soucions, notre choix d’externaliser le SIEM des services Azure contribue à réduire l’adhérence à l’hébergeur Microsoft Azure ».
Splunk est un bon SIEM et/ou SOAR
En réponse au poste de Jean-Nicolas Piotrowski, Raymond Razafimamonjy, un formateur reconnu sur Splunk, cautionne aussi le choix du HDH : « Le choix de Splunk est objectivement le meilleur SOC en que tant SIEM et/ou SOAR au monde, tant techniquement pour les Architectes SOC, tant au niveau UX/UI pour le client. Le Splunk que vous déploieriez pour un OIV et/ou pour des banques européennes comme la BEI, est protégé du Cloud Act, tant que vous hébergez ne serait-ce que le serveur Splunk qui contient vos data lake, c’est-à-dire indexer Splunk sur un serveur on premise ou un fournisseur Cloud français et/ou européens ».
Un choix que regrettent malgré tout certains DSI ou RSSI
Mais certains DSI er RSSI s’interrogent sur la procédure et ce choix technique : « On fait montre d’ouverture en publiant un appel d’offres vicié étant donné qu’il impose un produit et non un service. De quel droit l’administration impose-t-elle un produit ? Produit qui n’est pas dans le SILL ? », s’interroge sur Linkedin Dominique Blas, Ciso & DPO de Dehon. Et son confrère Philippe W, RSSI et Ciso à l’Université Paris Dauphine, de s’étonner également : « A quoi sert d’avoir un code des marchés publics renforcé sur le volet sécurité, hébergement et sous-traitance (cf DAE/ANSSI Guide des clauses de SSI types à intégrer dans les marchés publics), d’avoir un cadre « Cloud de Confiance », si certaines administrations peuvent les contourner ? ».
Il semble que cela ne soit pas le cas selon la direction du HDH, qui nous a précisé que sa consultation se déroule bien en deux phases. La première, à savoir la phase de candidature, se matérialise par le règlement d’appel public à candidatures disponible en libre accès. La deuxième phase est relative à la remise des offres. « Le marché est ouvert à tous les candidats sur la première phase mais leur connaissance en matière d’intégration de Splunk est prise en compte dans les critères d’analyse des candidatures sans que ce soit obligatoire. Nous sommes toutefois confiants, à notre connaissance, la plupart des ESN françaises sont familières de Splunk et savent l’intégrer, nous avons d’ailleurs a priori plusieurs candidatures d’ores et déjà annoncées à notre appel d’offre ».
David Ofer, le président Fédération Française de la Cybersécurité et vice-président d’Itrust, estime quant à lui que le Health Data Hub a réussi à imposer dans son appel d’offre de cet été pour un SOC, l’utilisation du SIEM Splunk en contrevenant à son sens à l’Article R 2111-7 du Code de la commande publique qui spécifie que : « Les spécifications techniques ne peuvent pas faire mention d’un mode ou procédé de fabrication particulier ou d’une provenance ou origine déterminée, ni faire référence à une marque, à un brevet ou à un type lorsqu’une telle mention ou référence est susceptible de favoriser ou d’éliminer certains opérateurs économiques ou certains produits. Toutefois, une telle mention ou référence est possible si elle est justifiée par l’objet du marché ou, à titre exceptionnel, dans le cas où une description suffisamment précise et intelligible de l’objet du marché n’est pas possible sans elle et à la condition qu’elle soit accompagnée des termes » ou équivalent » ».
« Tous soumis au Cloud Act américain, même en Europe »
Au final, Jean-Nicolas Piotrowski estime que le choix de Splunk peut-être préjudiciable malgré tout pour les assurés Français car 90% des solutions IT d’origine américaines sont soumises au Cloud Act américain, même en Europe : « Le droit américain prévaut. Tout hébergeur ou éditeur se doit de donner les données qu’il traite sur simple demande de la justice ou de l’état américain ».
Ce nouvel appel à projets du Health Data Hub (HDH) faisait suite au lancement d’un autre appel d’offres intitulé « Expertise sur la base principale du Système National des Données de Santé ».
